O principal aprendizado do ecossistema Pix em 2025 está diretamente ligado ao reforço da governança nos processos de integração de APIs e na gestão e monitoramento de acessos. Esse é o recado dos especialistas em engenharia de segurança com foco no setor financeiro. A onda de ataques hackers que fez muita marola no arranjo impactou sobretudo os Provedores de Serviços de Tecnologia da Informação (PSTIs). Esses são players que conectam instituições à Rede do Sistema Financeiro Nacional (RSFN).
Não por acaso, o Banco Central (BC) refez as rotas da agenda Pix no segundo semestre deste ano, com foco na segurança do arranjo. Uma dessas medidas subiu a régua nas restrições para habilitar participantes responsáveis, e o BC estabeleceu uma série de requerimentos de segurança para esses intermediários.
Na análise dos especialistas em segurança, o denominador comum dos ataques a fintechs e aos PSTIs é um conjunto de falhas em integrações de APIs e comprometimentos de credenciais de terceiros.
API é a sigla em inglês para Interface de Programação de Aplicação. Na prática, é um conjunto de regras e protocolos que permite que diferentes softwares e sistemas se comuniquem e interajam entre si.
Acessos indevidos
Fernando de Falchi, gerente de Engenharia de Segurança da Check Point Software Brasil, faz um alerta para o aumento da sofisticação das ameaças que vêm atingindo o sistema financeiro, como o incidente envolvendo a FictorPay, ocorrido em outubro.
Para Fernando, esses casos indicam que as fraudes por acesso indevido e comprometimento de credenciais de terceiros continuam sendo uma das principais rotas utilizadas pelos cibercriminosos. “Golpes e fraudes seguem como um dos maiores desafios para bancos e fintechs no Brasil. Criminosos utilizam engenharia social, ‘contas laranjas‘ e a velocidade das transações para dificultar bloqueios, enquanto vulnerabilidades na cadeia de suprimentos agravam o cenário”, diz.
Mesmo com medidas adotadas pelo BC, como o MED 2.0, que permite rastrear e bloquear transações fraudulentas em tempo real, além da implementação de limites de transações e bloqueios preventivos, o executivo ressalta ser essencial que os bancos compartilhem informações sobre fraudes em redes centralizadas. O objetivo, assim, é detectar padrões. “Também é necessário adotar IA e machine learning para monitoramento em tempo real, com foco no lado receptor das transações, em que as fraudes são mais difíceis de reverter”, avalia.
Outra frente importante, na visão dele, é aprimorar a validação de identidade, para evitar a manipulação de chaves Pix e QR Codes falsos. Outro consenso entre especialistas de segurança é a necessidade de atualizar campanhas que conscientizem a sociedade sobre os golpes de engenharia social.
Perdas com golpes
Relatório da Silverguard, plataforma com foco em inteligência para prevenção de golpes, sobre golpes com Pix realizados em 2025, aponta que, a cada minuto, 107 brasileiros são vítimas de golpes ou fraudes digitais. O estudo revela que o prejuízo com golpes de engenharia social, mais comuns no Pix, causam prejuízo estimado em R$ 51 bilhões. Desse total, R$ 29 bilhões englobam golpes de Pix e boletos falsos.
O relatório também faz uma distinção entre golpes e fraudes, a diferença está na participação da vítima. A fraude, segundo o estudo, é um crime contra o patrimônio sem que haja interação da vítima, como ocorre com cartão de crédito. Já o golpe, na análise da Silverguard, conta com a participação da vítima, geralmente envolvendo engenharia social.
Durante “LiveBC” sobre os cinco anos do Pix, realizada em 11/11, Renato Gomes, diretor de Organização do Sistema Financeiro e Resolução do BC, afirmou que o regulador tem uma lista recente de mais de 20 medidas adotadas para reforçar a segurança no ambiente Pix. Para Gomes, trata-se de uma ênfase perseguida pelo BC. Uma dessas medidas é a antecipação do pedido de autorização para que uma instituição possa participar do Pix.
“Por razões históricas, havia uma certa quantidade de instituições que ainda não tinham autorização do Banco Central. Nós antecipamos o cronograma para o pedido de autorização”, disse, na ocasião.
Leia também
Até 2026, o pedido de autorização do BC é necessário para todo participante do Pix. “Quem não conseguir essa autorização vai ter que sair imediatamente. Isso é importante para trazer rigidez ao sistema”, afirmou Gomes.
Outra providência do BC para apertar o cerco à segurança no ecossistema Pix anunciada por Gomes durante a live foi o desenvolvimento de uma ferramenta que bloqueia a criação de novas chaves Pix associadas ao CPF. O regulador está estudando critérios objetivos para identificar fraudes no Pix.
Agilidade
Thiago Zaninotti, responsável por Produtos e Tecnologia (Chief Product e Technology Officer, CPTO) da Celcoin, diz que o Pix nasceu com uma série de propriedades de segurança. “É um sistema, por definição, com design robusto. E o Banco Central vem agindo em uma agenda de construção regulatória, na direção de aumentar a democratização do Pix de uma maneira bastante eficiente”, diz.
A rapidez na reação do regulador para proteger o arranjo é um ponto muito positivo nessa jornada na visão do executivo. Nos últimos três anos, algumas reações denotam essa agilidade, diz ele. Uma delas é a edição da Resolução 269, de 1º de dezembro de 2022, que alterou o regulamento do Pix para determinar serviços passíveis de terceirização no âmbito do sistema de pagamentos instantâneo.
Thiago também destaca como positiva a jornada de aprimoramento do Diretório de Identificadores de Contas Transacionais (DICT). Essa base de dados contém informações cadastrais de usuários recebedores e dados de contas transacionadas por eles, contendo nome, CPF/CNPJ, chaves cadastradas e números de contas bancárias.
Outro passo importante para reforçar as questões de segurança foi a Resolução Conjunta nº 6 do Banco Central, diz o executivo. A norma, em vigor desde novembro de 2023, obriga instituições financeiras a compartilharem informações sobre indícios de fraudes para prevenir crimes financeiros.
“A Resolução 6 traz uma inovação importante, porque até então você tinha que contratar os birôs de fraude. E num ambiente onde existe muita disparidade, desde os incumbentes, que têm toda a tecnologia e investimentos, até os S4, S5, que são as pequenas IPs [Instituições de Pagamento]. Quando essa informação flui de maneira ampla, obviamente controlada entre os participantes, e sem custo, ajuda a melhorar, de maneira geral, o sistema de combate à fraude”, avalia.
Gestão contínua
Para Marcos Nicolau, diretor Antifraude do Efí Bank, as questões de segurança que impactaram o Pix em 2025 excederam a engenharia social. As fraudes no ecossistema Pix aumentaram o desafio para os times de segurança. Na visão dele, o BC tem reforçado muito a responsabilidade e a necessidade desses controles, em sistemas e auditorias.
“O ambiente digital precisa ter uma governança maior. Alguns dos maiores problemas dos recentes ataques, com retirada de recursos das instituições, envolveram fraude interna. Então manter o monitoramento constante é fundamental, mas é preciso também ter ciência de que ser infalível é algo muito complexo”, afirma.
Para Marcos, o processo de melhoria de segurança é um caminho sem fim, que se traduz em gestão contínua. “O compliance e a gestão de acesso ganharam força em 2025, principalmente no ecossistema interno das instituições. O acesso exige monitoramento, merece ser melhor controlado. Esse é um dos maiores aprendizados que 2025 trouxe”, afirma.
>> Acompanhe nos próximos dias a última de uma série de reportagens especiais sobre a evolução e e os novos passos do Pix.
*Especial para o Finsiders Brasil
